中国移动手机票券业务技术规范

《中国移动手机票券业务技术规范》由会员分享，可在线阅读，更多相关《中国移动手机票券业务技术规范（42页珍藏版）》请在装配图网上搜索。

1、中国移动手机票券业务技术方案版本号：0.5.0-实施-发布目录前 言III1范围42术语、定义和缩略语42.1.术语、定义42.2.缩略语43业务描述43.1.选择的行业票53.1.1.优惠券53.1.2.电影票兑换券53.2.业务设计思路53.3.业务功能53.3.1.业务开通63.3.2.票券发行63.3.3.检票73.3.4.凭证领取73.3.5.删除73.3.6.删除提醒73.3.7.取票83.3.8.回票83.3.9.票券状态实时更新83.3.10.对帐清算83.3.10.1.对帐83.3.10.2.清算93.3.11.商户服务93.3.12.用户服务94票状态说明105系统结构11

2、6网元功能126.1.通用电子票券服务平台126.2.终端管理控制平台136.3.票务终端146.4.票务终端146.5.SAM卡156.6.(U)SIM卡167组网177.1.组网结构图178主要业务流程178.1.手机票应用下载（预置）178.1.1.优惠券WWW查询178.1.2.优惠券WWW下载188.1.3.WWW购票-票存后台198.2.取票208.2.1.STK发起取票208.2.2.终端发起取票218.3.STK发起回票228.4.检票238.5.凭证领取248.6.删除258.6.1.STK删除258.6.2.WWW删除后台票269安全要求269.1.对称密码体系269.2.

3、非对称密码体系 PKI269.2.1.对服务器的认证269.2.2.用户的强身份认证-USB Key279.3.访问控制279.3.1.实施原则279.3.2.访问控制技术要求289.3.2.1.用户名/口令方式289.3.2.2.基于共享密钥的身份认证299.3.2.3.USB key身份认证方式309.3.2.4.动态口令方式309.3.3.通用电子票券服务平台访问控制方案319.3.3.1.通用电子票券服务平台的用户模型319.3.3.2.通用电子票券服务平台访问控制方案319.4.通信安全329.4.1.实施原则329.4.2.通信安全技术要求339.4.2.1.TLS/SSL349.

4、4.2.2.HTTPS349.4.3.通信安全方案359.5.可用性359.5.1.实施原则369.5.2.可用性方案369.5.2.1.业务流程异常处理369.6.安全审计369.6.1.实施原则379.6.2.安全审计技术要求379.6.3.安全审计方案379.6.3.1.管理操作审计389.6.3.2.业务流程审计389.6.3.3.应用/业务异常审计3910设备性能要求4010.1.通票服务平台4010.1.1.性能指标4011编制历史41前 言411 范围本方案规定了手机电子票券业务系统的总体技术方案，供后续具体技术方案的指定以及开发使用；适用于GPRS/EDGE/TD-SCDMA网

5、络环境。本方案做为中国移动手机通票(1期)的方案补充，对于已经在中国移动手机通票(1期)中定义的业务，直接参考相关文档。2 术语、定义和缩略语2.1. 术语、定义下列术语、定义和缩略语适用于本标准：术语/定义解释物流模式：物流模式指商户拥有自己的业务系统，通过接口方式下发电子优惠券仓储模式商户使用系统的业务管理平台，直接在手机票券管理平台设置下发电子优惠券的方式2.2. 缩略语缩略语英文全称中文含义3 业务描述通用电子票券，以(U)SIM卡为载体，借助手机以及互联网等通信能力，实现不同行业、不同领域的票券服务流程的电子化。本方案将实现手机电子票券业务所要求的票型的全部或部分业务功能。3.1.

6、选择的行业票3.1.1. 优惠券本方案实现手机优惠券的相关功能，包括打折券，抵价券，会员折扣卡，月票卡等3.1.2. 电影票兑换券本方案实现电影票兑换券功能。在电影票购买完成后,自助打印纸质电影票。说明：本需求来自于实际的市场需求,这里的电影票兑换券与一般电影票有少许差别。在该定义中，无法实现直接检票入场的功能，需要用户持券到换票终端，换成纸质电影票后入场。3.2. 业务设计思路手机票业务可以从几个角度进行业务特征提取。1， 手机票的发起源头 手机票是商户发出的，但是对于商户由于规模不同，习惯不同，具有的能力不同。有的商户有自己的优惠系统（如网票网），有的商户没有任何票券系统。为了给这些商户都

7、有发起手机票的能力，需要支持仓储模式和物流模式。 仓储模式，即商户登录票券发行系统（自服务系统），直接利用通票业务平台提供的能力下发优惠券。 物流模式，是指商户有自己的业务系统。即本系统被抽象为一个类似网关的设备，商户可以通过接口方式将其原有的业务对接到本网关，并且利用卡片的能力开展业务。这种模式可以为网票网等商户提供服务。2， 手机票的发行渠道手机票券会有多种发行渠道。一个是手机通票业务系统构建的用户获取票券的平台。随着业务的发展，第三方业务平台也会成为手机票券的发行渠道。比如12580等。基于以上的业务思路，商户自服务管理系统是商户的业务管理接口，商户在该系统对票券下发业务进行订购，在订购

8、审核通过后，商户可以使用约定的接口下发票券，系统对下发的票券进行控制和统计，并基于此进行计费。3.3. 业务功能归纳总结，本方案待实现的业务功能包括：票券发行、凭证领取、检票、取票、回票、票券删除。电影兑换券优惠券票券发行商户管理用户管理清算凭证领取检票删除取票回票3.3.1. 业务开通业务开通是指用户开通手机票业务的功能。业务开通在RFID-SIM卡片首次开机的时候实现。对于刚刚更换RFID-SIM卡片的用户，首次开机后，RFID-SIM卡自动上行一条数据短信，携带卡片应用序列号，请求业务开通。通票业务平台收到该请求后，将该应用序列号与该用户手机号码绑定，完成业务开通。并下发确认数据短信，卡

9、片收到短信后，将卡片业务置位为开通状态。业务注销时，可以通过STK方式注销该业务，平台解除绑定关系。手机通票应用序列号编码规则遵循中国移动相关规定：发卡行标识代码N1-N6,6位数字地区标识N7-N9，3位数字（地区区号去掉首位0；如只有两位，后补零，例：手机为“100”）流水号N10-N15 6位数字手机号码后四位N16-N19 4位数字校验位N20，1位数字应用序列号分配：向集团申请票券业务应用序列号，批量导入手机票券平台，票券平台以文件形式导出3.3.2. 票券发行票券发行是指商户将其需要发行的票券信息，以接口方式传递到通用电子票券系统。票券系统根据发行请求，下发手机电子票券，并将下发情

10、况记录在票券发行平台。票券系统应支持商户管理权限，操作员需要为商户分配下发权限，（限量发行，不限量发行），商户可以查看票券发行状态，并有初步的票券统计功能； 所有票券数据存储在一张（U）SIM卡中。一个用户可以购买一张或多张电子票，多张电子票的种类可以不同，单张卡片要求至少能盛放20张电子票。卡片已满时，用户可以将票暂存在后台，待卡片空间允许时，再放入卡片；用户购票支付成功后，如果向（U）SIM写票操作失败、或用户卡片已满时，系统自动将票券存入后台并短信通知用户写卡失败原因。用户购票成功后，系统可以通过短信或彩信方式将票券附加通知给用户，具体方式的选择（短信或彩信）由票券发行商在票券发行申请时

11、提前预置。 手机关机时处理的机制，关机时，下发的手机优惠券，由于关机无法到达手机SIM卡，票暂存到后台，当用户开机后，但是短信网关会依然下发票券（短信网关的机制），SIM卡收到后，会上发该票券的信息，平台收到信息，将票券状态置为前台票。否则，该票券被处理为后台票。3.3.3. 检票POS终端将用户手机卡中的该商户的所有票券读取并显示在终端上，从终端上选择要使用的票券，并进行检票。如果在终端上选择了多张票券进行检票，则POS分若干次进行卡片检票动作。在手机票券上扩展了活动码，商户可以在POS上输入活动码，通过这种机制实现了票券使用范围的控制。当检票的时候，POS查询票券活动码，当活动码为00时，

12、说明该票券是不受活动限制的票券，当票券活动码不为00时，需要检查POS的活动码是否与票券的活动码一致，如果一致则该POS可以读取该票券。一个POS最多可以设置10个活动码。在检票后，如果票券状态发生改变，则SIM卡上送票券状态数据到通票业务平台。3.3.4. 凭证领取用户可以使用电子票在凭证自助领取终端，通过读卡方式领取凭证。如领纸质电影票。3.3.5. 删除用户手机上的电子票逾期未检已变成废票时，为避免常占卡片空间，用户可以通过STK方式删除前台票券（同时后台票券同步删除相应票券），能否删除由后台控制。用户删除（U）SIM卡本地票券时，只能删除卡片上的失效票券，无须输入操作密码，可直接进行删

13、除；有效票券需要联机删除，并输入操作密码，确认无误后进行删除操作。操作密码初步定为固定的1234。但是可以修改。如果修改后，用户忘记，后台可以重置为1234。3.3.6. 删除提醒票券已满时，平台下发票券后，SIM卡端向平台回复票券已满响应。同时，卡端给用户弹出提示：“票券存储空间已满，您有新的优惠券等待下载，请删除或暂存不使用的电子票券”。同时终端弹出STK菜单（一级菜单）到手机票券一级。如果用户正在STK，则不提示，直到用户退出STK才提示。3.3.7. 取票由于用户的（U）SIM卡片上可存储的票券数量有限，用户所购买的票券可以选择存储在票券系统后台中。当用户需要使用相应票券时，可以通过票

14、券配送的方式将用户所购买的票券下载到用户的卡片中。3.3.8. 回票用户可以选择将卡片中暂时不需要用到的票券存放到票券系统后台，同时卡片中该票券回应相应删除。3.3.9. 票券状态实时更新当任何SIM卡中票券发生状态改变时，如检票时，票券状态从有效变为失效，卡片主动上报该票券的状态。通过该机制，保障后台票券状态和前台票券状态实时一致。手机通票业务平台可以根据系统设定规则向卡片发起状态同步请求，卡片可以响应该请求，将指定票券状态上报给业务平台。3.3.10. 对帐清算卡片在检票的时候，卡片上该商户的票券状态被同步到系统，系统汇总到商户数据中，每日定时生成对账交易文件（生成周期可以配置），并可以通

15、过FTP提供给商户对账使用。（或者1，在本系统下载文本格式对账文件；或者2，在本系统商户可以查询交易记录）对账文件包括：1， 当天发行的手机票券 票券ID手机号码下发是否成功2， 当天使用的手机票券票券ID手机号码3.3.10.1. 对帐负责通用手机票系统与外围系统的对帐。对帐方式是手机票业务平台提供对账文件，由外系统获取对账文件，外系统自行核对；若总账对平，就不再对明细，否则需产生差错文件，线下协商进行明细勾兑，必要时进行调帐。差错账线下勾兑完毕后，结算差额并入下个结算日进行结算。对帐周期以日为单位，但参数可以灵活配置。对于手机平台，规定手机票平台提供对账文件，由外系统获取对账文件，外系统自

16、行核对。3.3.10.2. 清算对账完成后，平台定期出具结算报表，有两种结算方式：l 手机票业务平台提供结算报表，递交给财务部门结算佣金；l 外围系统提供的结算报表。结算周期可以灵活配置。3.3.11. 商户服务通用票券平台可以给商户分配不同的权限进行商户管理，这些功能包括但不限于：商户注册、票券下发名单批量提交、发展新商户、商户审核、票券发行申请提交、票券状态统计查询等功能。商户注册:商户注册开通票券业务。提交商户信息:公司名称、法人代码、组织代码等。商户审核：运营商人员审核商户注册信息，审核完成后，批准商户开通业务。商户信息更新：提供商户信息的增加、修改、删除、查询功能。票券下发名单批量提

17、交：商户提交票券下发名单，向用户群发票券。（这是对仓储模式下商户的一个功能，商户可以导入用户列表，列表为TXT/Excel格式文件，每行为手机号码）票券发行申请：商户提交票券发行需求，经运营商审核后，系统自动生成票券应用。票券状态统计查询：查询、统计票券的发布数量、种类。管理票券种类、数量及类型。计费功能：按月或按次计费。（按月有最高封顶下发票券张数）连锁商户活动的处理机制：在卡片扩展字段中，设置活动代码标识，占2个字节。用此代码实现连锁商户部分门店优惠活动的需求。如果活动代码为00，代表是全部商户可以使用。对于任何一个商户，需要将其POS终端设置一组支持的活动代码（最多10个）,当手机票券的

18、活动代码和这个POS的活动代码一致时，该POS才能够处理该票券。3.3.12. 用户服务用户平台负责管理RFID-SIM卡手机票用户的各种业务信息。管理用户的身份信息：手机号、操作密码、姓名、证件类型、证件号码码等（在所售票要求实名时，要求用户提供后三项信息）。用户手机票业务注册：用户通过STK菜单完成手机票业务的注册。在本平台记录用户的业务订购关系。用户的业务订购关系记录用户的手机号和RFID-SIM卡编号。当用户更换RFID-SIM卡片后，需要通过STK注册来更新对应关系。平台需要管理用户手机号与用户(U)SIM卡片内手机票应用的应用使用编号信息。该信息通过由用户手机通过手机票应用登记命令

19、上送平台。手机号与应用使用编号的对应关系会随着用户更换SIM卡而变化，而平台以最后一次收到的手机票应用登记指令内的数据为准。在完成登记后，平台下发登记响应至用户(U)SIM卡。操作密码管理：用户申请开通业务后，平台系统随机生成用户的操作密码（默认为1234），以短信形式通知用户，用户可以通过回复短信、登陆WWW网站或人工客服方式修改初始密码，用户忘记密码只能通过客服，由客服认证用户身份后，为用户重置，重置的密码通过短信下发至用户手机。该操作密码作为用户的身份确认工具，当用户申请票券转让、卡片侧票券联机删除、后台票删除操作时，须先通过操作密码确认。4 票状态说明卡片手机票状态转移图卡片手机票状态

20、：01：未使用02：已使用（被检过，但还可再检票）03：检票完成04：作废（被黑名单捕获）05：结束使用（手机票功能被使用完毕）06： 冻结，此时票信息可被查看到，但不能使用（如被检、被黑名单捕获和领取凭证）平台可删除卡片上任一状态的票，删除规则如下：1）01，02：票已过期情况下，允许用户删除；强行删除（必须由授权的操作员发起）2）03，04，05：只要售票终端发起删除请求，即允许删除04和05状态下的手机票可被新票直接覆盖。(U)SIM卡可直接通过STK本地删除03状态的手机票01，02状态的手机票必须联机删除，(U)SIM卡可通过STK或售票终端联机删除。票券数据扩展说明1， 商户ID的

21、扩展。为了支持商户的应用，扩充商户ID，使用TLV格式。增加一个商户ID标志位，该标志位标识商户ID的长度，当该标志位为0的时候，意味该票券中商户ID不存在。2， 票券活动代码添加，满足连锁店等业务需求5 系统结构6 网元功能6.1. 通用电子票券服务平台通用电子票券服务平台是整个通用电子票的核心处理平台，主要功能模块包括：n 接入模块：与终端管理控制平台连接，负责与各类外系统(平台)进行连接，完成终端状态管理和控制。 n 票券信息管理模块：主要包括三个子模块： 商户管理模块：对商户进行注册、注销、参数设置；增加下一级票券发行商、查询票券发行状态统计等功能； 票券发行模块：接收商户的票券发行信

22、息，录入平台；并支持物流模式发现票券 票券属性管理模块：修改票券属性包括票券价格、说明信息等；n 票券销售模块：实现票券的销售，当用户确认后，平台通过空中方式将票券下发到用户手机（U）SIM卡中，主要包括以下子模块： 用户管理：通过STK注册功能，完成手机号码与手机票应用的绑定。 购票模块：提供购票服务，将用户所购票写入用户卡片。支持票券批量用户下发功能。n 票券特殊业务模块：专门负责对恢复票、退票、删除票、冲正等特殊交易的业务处理。n 对账结算：负责平台与外围系统（如支付机构、票务系统、服务渠道等系统）的对帐结算处理。通用电子票券平台的业务逻辑架构如下：通用电子票券平台的业务逻辑架构图6.2

23、. 终端管理控制平台终端管理控制平台对其所辖的所有通用电子票券票务终端进行监控，实现运行管理功能，主要包括商户管理、终端管理、交易转发、黑名单管理等。对于通用电子票券应用平台，终端管理控制平台通过有线以太网络，实现与手机票业务平台的连接通信，上送相关手机票务信息以供帐务处理，并对通用电子票券服务平台所下达的相关控制指令参数（黑名单等）、业务参数接收转发至相关设备。l 商户管理：商户信息由通票服务平台进行维护，终端管理控制平台使用文件方式与之同步。所同步的商户信息中起码包含商户编号、商户名称、商户类型、商户状态。终端管理控制平台必须与通票服务平台同步商户信息后，才可以为新增的商户初始化票务终端。

24、l 终端管理：包括终端信息管理、终端状态管理。终端信息管理： 终端基本信息包括登记信息、机具信息、位置信息：n 登记信息：对应商户编号、商户名称、终端机编号（终端机编号在登记时由终端管理控制平台按规则分配）、绑定的SAM卡信息；n 机具信息：终端生产厂商名称、终端型号；n 位置信息：安装地点、安装日期、启用日期、到期日期； 终端程序、参数、事件代码与资源文件管理：n 终端程序、参数、事件代码与资源文件版本维护。参数包括通信参数和运营参数。通信参数包括：重发前等待时间、重发次数、等待建立连接的时间、终端管理控制平台地址、终端管理控制平台端口、交易路由地址等；运营参数包括：登录超时时间、签退超时时

25、间、操作等待时间、交易存储满控制、报警时间、提交交易数据时间上限、设备状态定时上传时间间隔等n 终端程序下载、更新；n 参数下载、更新。n 事件代码与资源文件下载、更新终端状态管理：终端管理控制平台可对终端的运营状态进行查询、设置、监控。根据需要，平台可向设备发起指令控制，目前主要是冻结操作。终端管理控制平台可以针对终端状态和状态转移事件制定逻辑响应规则，在检查到设备状态发生变化、或发生了某种状态转移事件时，根据预先设定的规则，报警或下发设备指令。6.3. 票务终端移动检票终端用以在场地较小的通用电子票券应用场所进行相关检票业务，它使用通用电子票券读写器对各类通用电子票券进行信息的写入和读取，

26、使用SAM模块实现安全认证，对于符合票务规则的通用电子票券进行脱机检票，对于无法读取的通用电子票券提供联机检票功能。商户布置的检票终端应支持一定的购票功能，即用户可以通过该商户的检票终端，同时购买到本商户的其他票券。当商户的票券信息、类别发生更新时，在售票终端下次开机后，系统应能将相应信息同步到相应得检票终端。6.4. 票务终端POS终端需要实现以下功能：消费、批上送、签到、签退、设备状态上送、通讯参数下载、运营参数下载、KEK更新、软件更新、发行信息同步。 储值卡消费选择储值卡消费交易，读卡，是否有多张卡片，有则进行使用卡片选择，卡票信息有效性判断，读取储值卡金额，置储值卡状态为已用。对于成

27、功交易记录交易日志，对于不成功的交易，显示错误原因。 票券消费参考流程：选择票券消费交易，读手机U（SIM）卡，根据商户编号读出本影院的所有票券信息，若存在多张票券，则由用户选择使用其中哪一张，否则不需要选择，然后对票券信息进行有效性判断，将票券消费请求上送影院票务系统，接收影院票务系统返回的处理结果，对于成功交易，向手机U（SIM）卡发写卡命令，记录交易日志，对于不成功的交易，显示错误原因，并将处理结果返回影院票务系统。 交易批上送储值卡POS终端，票券POS终端，需要将交易记录定期上送通用票券平台。在规定时间点或手动操作，POS终端启动批上送交易，组织批上送数据。发起批量上送请求至通用票券

28、服务平台。通用票券服务平台成功接收后，返回响应通用电子票券服务平台对批量数据进行处理。 签到POS终端每次开机后应首先向通用票券平台发起签到，然后才能开始其他交易。 签退POS终端向通用票券平台发起签退。 软件更新POS终端根据回响或者签到请求返回的响应中所携带的应用程序更新标志判断是否需要进行应用程序更新，如果更新标志为强制更新，则POS终端在签退后发起相应的应用程序更新的请求，如果更新标志为选择更新，则POS终端在签退后由相关人员发起应用程序更新的请求。 KEK下载POS终端向通用票券服务平台请求下载更新KEK。 设备状态上送POS终端向通用票券服务平台上报设备状态。 通讯参数下载POS终

29、端向通用票券服务平台请求下发最新通信参数。 运营参数下载POS终端向通用票券服务平台请求下发最新运营参数。 发行信息同步通用票券服务平台向POS终端全量同步发行的票券信息。6.5. SAM卡 SAM卡用于商户POS、网点终端、直联终端等末端设备上，负责机具的安全控管。SAM卡具有一定的通用性，经过个人化处理的SAM卡能够在不同的机具上使用。SAM卡支持多级发卡机制，各级发卡方在SAM卡主控密钥和应用主控密钥的控制下创建文件和装载密钥。 SAM卡安插于售票终端、闸机、移动检票终端/闸机、纪念票领取终端、POS等终端设备上，用于脱机应用的交易安全认证，具备多应用功能。经过个人化处理的SAM卡能在不

30、同的机具上使用。6.6. (U)SIM卡(U)SIM卡片作为安全存储SE，存放通用手机票应用及数据，并向用户提供STK菜单，以便手机票用户本地操作，如随时查阅、选择或取消待检手机票等。一张(U)SIM卡可至少存放20张手机票。（U）SIM卡包括两种射频制式：1）2.4G全卡：采用2.4G的RFID技术同时要求(U)SIM支持CMS2AC技术。l 业务开通：用户在首次使用手机票应用时，RFID-SIM卡能自动在后台注册登记，方便快捷。l 查询并订购待售票：用户可以通过STK菜单查询各类待售票。l WWW购票：用户通过WWW方式发起远程购票请求后，通过网银、中国移动手机支付的远程支付、手机钱包等支

31、付方式完成票款支付（或采用积分兑换的方式），手机票业务平台将通过短信方式把手机票信息写入用户RFID-SIM卡。l 手机票检票l 手机票取票：将存于后台的票券转存到(U)SIM卡片。发起取票前，用户查询可取票，查到后，可从列表中选择待取票。l 手机票回票：将存放在(U)SIM卡的未检票（已使用和检票完成的票不能放回后台），放回至后台存储。用户在执行新的回票操作时，先检查是否有上次回票不成功的处于冻结状态的票，若有，则需优先选择将此冻结票继续回票，回票成功后，才可执行新的回票操作。l 手机票删除（有pin的输入）：手机票删除应用于人工在线检票或者用户手机票逾期未检情况。人工在线检票时，由手机票业

32、务平台主动发起；用户手机票逾期未检时，可由用户主动发起，由手机票业务平台判断是否可以删除该手机票。l 手机票菜单更新：用户可以通过STK菜单主动发起菜单更新请求，由手机票业务平台判断是否需要更新菜单。l 防拔机制：RFID-SIM卡必须能够在交易处理中的任何情况下，甚至是在更新EEPROM过程中掉电的情况下，保持数据的完整性。7 组网7.1. 组网结构图8 主要业务流程8.1. 手机票应用下载（预置）8.1.1. 优惠券WWW查询1） 用户登录通用电子票券WWW门户，输入手机号码和动态密码（动态密码通过普通短信获取）2） 进入查询界面，选择查询条件，查询某票提供商的某种或全部待售票3） WWW

33、界面向通用电子票券服务平台发起查询请求4） 通用电子票券服务平台，依据用户查询条件，收集当前待查询信息，完成信息组包5） 通用电子票券服务平台将组包结果信息返回6） WWW界面将查询的结果内容展现给用户8.1.2. 优惠券WWW下载1） 用户登录WWW网址，通过手机号码及动态密码登录。2） 在网页选择票提供商、票类型，输入要下载的票数，存入方式选择；（若存入方式选择“存入卡片”，当用户卡片已满或其它原因导致写卡失败后，系统自动将票券存入后台并短信通知用户写卡失败原因）3） WWW Server提交用户购票申请至通票服务平台4） 通票服务平台对用户鉴权，并临时锁定票。5） 通票服务平台发送数据短

34、信至用户卡片，以触发卡片的写票流程。该数据短信包括：票提供商编号、票类型、票数6） 执行STK购票流程中的输入购票信息后的步骤8.1.3. WWW购票-票存后台1） 用户登录WWW网址，通过手机号码及动态密码登录。2） 在网页选择票提供商、票类型和支付方式，输入要购买的票数，存入方式选择后台3） WWW Server提交用户购票申请至通票服务平台4） 通票服务平台对用户鉴权5） 通票服务平台将票存放后台6） 用户购票成功后，系统可以通过短信或彩信方式将票券附加心痛通知给用户，具体方式的选择（短信或彩信）由票券发行商在票券发行申请时提前预置。8.2. 取票8.2.1. STK发起取票将存于后台的

35、票券转存到(U)SIM卡片。发起取票前，用户查询可取票，查到后，可从列表中选择待取票。1 用户通过STK发起后台票查询请求2 后台收集票数据信息3 将票信息结果发送至用户卡片4 发送取票请求，取票请求需携带待取票信息，为避免异常，STK短信取票，一次取相同类型的一张或多张，发送后，STK菜单处于锁定状态5 后台检查有无待取票信息6 票信息下发或下发失败响应7 卡片存储票信息8 发送确认响应9 平台成功处理8.2.2. 终端发起取票8.3. STK发起回票将存放在(U)SIM卡的未检票（已使用和检票完成的票不能放回后台），放回至后台存储。1. 选择待回票2. 发送回票请求（带Back-MAC1）

36、，卡片将回票置为冻结状态；在回票冻结下，用户可重复发送已发回票请求3. 后台保存，将票置为中间状态4. 确认响应（带Back-MAC2）5. 卡片判断是否成功，将冻结回票删除；不成功，将回票状态解冻6. 卡片将执行结果返回（带Back-MAC3），平台验证MAC3，成功，则将票设为正常状态。后台普通短信通知8.4. 检票说明：终端对券信息进行有效验证，若返回的活动代码和商业ID任何一个不匹配，将终止检券操作，由终端报错，票状态不做修改8.5. 凭证领取1） 凭证领取终端发送交易初始化命令至用户卡片2） 卡片进行初始化处理后3） 卡片返回初始化响应4） 凭证领取终端生成MAC15） 凭证领取终端

37、终端发送修改凭证领取标识命令至用户卡片6） 卡片验证MAC17） 修改标识8） 生成MAC2和TAC9） 卡片返回响应10） 凭证领取终端验证MAC211） 凭证领取终端记录交易和TAC提供凭证8.6. 删除8.6.1. STK删除对于已经进入检票完成状态和结束使用状态的电子票，用户可通过STK菜单本地直接删除；但在删除检票完成状态电子票时，STK菜单应给出“还有未完成功能，是否确认删除”的提示，用户再次确认后，完成删除。对于未使用或已使用状态的电子票，用户如需删除，必须联机。见以下说明：1） 用户进入STK菜单，选中要删除的手机票，选择删除，卡片提示用户输入操作密码，并向通用电子票券服务平台

38、发送删除请求数据短信2） 通用电子票券服务平台判断请求手机票是否允许被删除3） 通用电子票券服务平台如确认手机票可删，生成MAC4，下发删除命令至(U)SIM卡片；如不可删，则拒绝删除请求，流程结束。删除命令包含MAC44） 卡片收到删除命令后，执行删除，生成MAC55） 卡片返回删除响应，响应包含MAC56） 通用电子票券服务平台修改票状态，并记录本次删除记录8.6.2. WWW删除后台票1） 用户登录电子票券平台WWW protal；2） 查询后台票券并选择相应票券；3） 提交删除申请，并输入操作密码；4） 后台对用户鉴权；5） 鉴权成功后删除相应后台选票；6） 返回删除响应；7） 短信通

39、知用户删除成功9 安全要求9.1. 对称密码体系对称密码体系相关规范参考如下文档：l 中国移动手机票业务密钥管理技术规范9.2. 非对称密码体系 PKI9.2.1. 对服务器的认证在下表中列出了通用电子票券服务平台中需要采用数字证书对服务器进行身份认证的通信双方实体以及采用证书做身份认证的相关要求。通信双方证书应用优先级通用电子票券服务平台 票提供商系统通用电子票券服务平台 终端管理控制平台通用电子票券服务平台 (U)SIM卡多应用接入管理平台通用电子票券服务平台 手机支付服务平台服务器之间的双向认证：1. 按照“非对称密码体系 - PKI”部分中的证书申请流程为服务器申请服务器证书，并在服务

40、器或加密机中安装2. 在每个服务器上内置对方服务器的证书对应CA的根证书3. 通信双方服务器分别采用对方服务器证书做双向身份认证（承载协议为TLS/SSL，详见“通信安全”部分的说明）强制9.2.2. 用户的强身份认证-USB Key在下表中列出了通用电子票券业务系统中需要采用数字证书做管理员身份认证的的相关要求。用户证书应用优先级l 通用电子票券服务平台l 终端管理控制平台在登录服务器过程中采用USB Key做身份认证，具体要求详见“访问控制”部分的说明强制9.3. 访问控制9.3.1. 实施原则下表列出了本系统中可供选择的访问控制方式及其级别划分和相关认证强度的说明：身份认证方式说明认证级

41、别USB Key认证通过USB Key进行签名和身份验证等（基于非对称密码体制）。强基于短信的动态口令+静态口令静态口令+动态口令（通过手机短信发送），也属于双因素认证，但该方式中动态口令通过明文发送，其强度有所降低。强基于共享密钥的身份认证通过对称加密算法进行身份认证。较强用户名/口令采用用户名+口令的方式实现认证过程。弱/较弱通用电子票券服务平台安全体系总体描述中所提出的原则如下表所示：访问方式权限级别通过非可信网络访问通过可信网络访问超级管理员强认证强认证普通管理员强认证较弱认证用户较强认证禁止下面将以此为依据制定通用电子票券服务平台访问控制方案。9.3.2. 访问控制技术要求9.3.2

42、.1. 用户名/口令方式u 功能说明用户名/口令认证中，服务器端需要保存的口令散列值比对进行认证。在用户初始化或每次口令更改过程中，为了避免字典攻击和密码重复使用导致的安全问题，都需要服务器为生成一个随机数salt，并对“salt+口令”的值进行散列，形成散列值。服务器端保存salt, 散列值对，如下图所示。+服务器存储文件内容随机salt值新口令Hash值随机salt值Hash值Hash用户进行认证时从文件中读出salt值，与用户输入的口令一起生成hash值，与系统中存储的hash值进行比对和验证。如下图所示。+服务器存储文件内容salt值输入口令Hash值salt值Hash值Hash比对用

43、户名/口令认证方式的相关参数要求：参数说明HASH算法SHA1Salt长度4个字符HASH长度=16个字符u 策略要求本系统中，用户通过远程进行身份认证过程中，要求口令不能以明文形式出现在网络上。另外，将用户名/口令访问控制方式的策略分为三类，要求如下（每类策略都给出了建议的用户类别，在实际的方案中可以根据具体的安全需求酌情调整）：l 高级策略（超级管理员）：口令策略说明口令强度长度：不低于8个字符构成：由大小写字母、数字及特殊符号等混合、随机组成口令有效期不高于30天尝试次数限制及处理方式失败尝试3次后，锁定用户，由管理人员（OS管理员）解除锁定口令保存salt+hash方式保存l 中级策略

44、（普通管理员）：口令策略说明口令强度长度：不低于8个字符构成：由大小写字母、数字及特殊符号等混合、随机组成口令有效期不高于60天尝试次数限制及处理方式失败尝试6次后，锁定用户，由超级管理员解除锁定口令保存salt+hash方式保存l 低级策略（用户）：口令策略说明口令强度长度：不低于6个字符构成：由大小写字母、数字及特殊符号等混合、随机组成口令有效期不高于60天尝试次数限制及处理方式失败尝试6次后，锁定用户，由管理员（超级管理员或普通管理员）解除锁定口令保存salt+hash方式保存9.3.2.2. 基于共享密钥的身份认证基于共享密钥的身份认证的前提是认证双方共享一对对称密钥，在交互过程中，通

45、过加密和MAC验证方式实现对信息完整性的校验，同时实现对双方身份的验证。9.3.2.3. USB key身份认证方式基于证书的USB Key认证方式，需要首先在服务器存放管理员证书（见），USB Key存储对应的私钥。USB Key认证方式使用流程如下：(1) 用户登陆时，页面中的控件启动，检查USB Key 是否存在，并提示用户输入pin码，由USB Key验证pin码，如果pin码错误，则登陆失败；pin码验证成功则进入下一步认证过程。(2) 客户端向服务器发出一个验证请求，请求信息中包含USB Key ID。(3) 服务器接到此请求后生成一个随机数通过网络传输给客户端，并记录随机数。客户

46、端将随机数使用私钥进行签名，传给服务器。(4) 服务器端首先使用USB Key的证书对应的公钥对签名数据进行认证，并核对随机数的正确性。如果通过，说明USB Key合法，登陆成功。9.3.2.4. 动态口令方式u 功能说明动态口令身份认证方式是通过手机获取动态口令的认证方式，其流程是：1） 用户注册过程中，服务器需要将用户ID和手机号捆绑2） 登录过程中，客户端向服务器发送登录请求3） 服务器随机生成动态口令（由随机数转换为动态口令），并通过SMS的方式发送到用户捆绑的手机上4） 用户在超时时间内在登录界面上输入手机上的动态口令，完成身份认证在实际应用中，该身份认证方式可以和用户名/口令方式结

47、合使用，形成高强度的双因素认证方式。典型的动态口令和静态口令结合的认证方式如下图所示：9.3.3. 通用电子票券服务平台访问控制方案9.3.3.1. 通用电子票券服务平台的用户模型通用电子票券服务平台中的用户模型如下表所示，后续的访问控制方案中，将根据用户类型提出要求，各个模块在实施访问控制方案过程中可以根据该模型中的用户对应关系发现特定用户的访问控制方案。系统平台用户类型用户细分说明通用电子票券服务平台超级管理员系统操作员普通管理员业务操作员用户票提供商手机用户终端管理控制平台超级管理员普通管理员各类终端（售票终端、凭证换取终端等）用户主管操作员操作员9.3.3.2. 通用电子票券服务平台访

48、问控制方案根据以上的实施原则，通用电子票券服务平台的各个系统模块的身份认证方案如下表所示，其中每种访问控制方式的具体技术要求参考“访问控制技术要求”中的说明。系统模块用户类型身份认证方式通过非可信网络访问通过可信网络访问通用电子票券服务平台超级管理员l 认证方式：用户名/口令+USB Keyl 策略要求：见“高级策略”和USB Key策略l 认证方式：用户名/口令+USB Keyl 策略要求：见“高级策略”和USB Key策略普通管理员l 认证方式：动态口令+用户名/口令（或采用 USB Key方式）l 策略要求：见“中级策略”l 认证方式：用户名/口令l 策略要求：见“中级策略”票提供商l

49、认证方式：用户名/口令+USB Keyl 策略要求：见“高级策略”和USB Key策略N/A手机用户（STK）l 认证方式：基于共享密钥的身份认证手机用户（WWW）l 认证方式：动态口令+用户名/口令（口令初始化、口令更改？暂不加静态口令）l 策略要求：见“中级策略”N/A终端管理控制平台超级管理员ll 认证方式：用户名/口令+USB Key策略要求：见“高级策略”和USB Key策略普通管理员ll 认证方式：用户名/口令策略要求：见“中级策略”终端（售票终端、移动检票终端、凭证换取终端）用户l N/Al 认证方式：用户名/口令l 策略要求：9.4. 通信安全通信安全指应用之间通过网络进行通信

50、过程中需要考虑的安全措施，要求通过安全措施达到如下目标：l 通信数据加密l 通信数据完整性l 不可否认性（根据应用需求而定）9.4.1. 实施原则通信安全的实施原则如下表所示：说明安全要求优先级文件传输、安全远程登录对于文件传输和远程登录的需求，需要采用标准的应用层安全通信协议，其中文件传输，建议采用SFTP协议，远程登录建议采用SSH协议。强制WEB通信对于跨互联网的WEB通信，可根据需要采用HTTPS应用层安全协议，具体原则如下：l 分离安全和非安全的内容：在网站目录结构设计过程中，需要明确地区分可公开访问区域和受限区域，分别存放可公开访问的网页和受限访问的网页（比如登录页面、包含信用卡号

51、等敏感信息的网页等）。l 只对需要的网页采用HTTPS：HTTPS可以加密网页数据，并可对目标服务器做认证的情况。但是由于使用HTTPS对主机性能有一定影响，建议只对上述受限区域中的网页采用HTTPS传输。这样做，可以避免由于HTTPS的性能开销影响整个网站。l 使用HTTPS的建议：出于性能方面的考虑，对于必须使用HTTPS传输的情况，应使页面尺寸尽量小，并避免使用大尺寸的图片文件。强制后台系统间通信对于后台系统间的通信，采用SSL协议进行通信，实现双向身份认证和机密性、完整性强制SIM卡/手机终端与后台系统间的通信需要传输层标准协议（如：GSM 03.48），结合采用专用密码体系进行安全通

52、信强制通用电子票券服务平台与第三方系统或移动其它系统间的通信优先采用业内标准安全协议进行通信或与第三方协商定制专用安全协议强制9.4.2. 通信安全技术要求通信安全是通过安全协议实现的，通用电子票券服务平台中因业务场景的不同以及业务需求的不同，主要应用到了如下几种安全协议，这些协议分别在传输层和应用层面为应用提供了安全通信保证：l TLS/SSLl HTTPS下面分别介绍这几种协议的技术要求。9.4.2.1. TLS/SSL通用电子票券服务平台中的TLS/SSL协议至少支持如下特性：l 规范：u 符合SSL V3.0和TLS V1.0规范l 身份认证：u 支持基于X.509V3证书的单向/双向

53、身份认证，并可通过环境设置参数指定l 至少支持如下算法u 对称算法：l RC4（缺省算法）l AESl DES/3DESu 非对称算法：l RSA1024u 摘要算法：l 至少支持SHA1摘要算法关于TLS/SSL协议中的证书要求，见“非对称密码体系 - PKI”部分中对服务器证书的相关说明。9.4.2.2. HTTPS通用电子票券服务平台中需要提供安全WEB服务的情况下，可以采用HTTPS协议，该协议是HTTP+SSL的组合，具体说明如下：n URI格式：HTTPS通过HTTPS:/的方式调用，如：https:/ n HTTP协议版本：HTTPS所基于的HTTP协议必须为HTTP1.1（或后

54、续版本）。n SSL/TLS协议版本：符合SSL V3.0和TLS V1.0规范，见“TLS/TLS”部分的说明。n 服务器证书：采用HTTPS通信的WEB服务器，需要预先安装服务器证书，用于WEB Client对服务器的认证，及通信过程中的密钥协商。关于HTTPS协议中的证书要求，见“非对称密码体系 - PKI”部分中对服务器证书的相关说明。n HTTPS使用原则：参考通用电子票券服务平台安全体系总体描述中“通信安全”部分的要求。9.4.3. 通信安全方案通用电子票券服务平台中各接口的安全通信方案如下表所示。通信接口通信安全方案优先级SIM 通用电子票券服务平台1、安全协议：应用层安全协议2

55、、机密性/完整性：采用基于共享密钥实现应用信息加密和完整性保证（密码体系见密钥管理技术规范）强制客户端 Portal手机客户端：1、机密性/完整性：暂不支持PC 客户端：1、安全协议：HTTP/HTTPS2、机密性/完整性：对敏感网页信息可以通过HTTPS协议提供访问，从而提供机密性/完整性保证，同时，通过服务器证书做服务器认证。对于可公开访问信息则可以通过HTTP提供访问。强制各类终端 通用电子票券服务平台（售票终端、闸机、移动检票终端、凭证换取终端）1、安全协议：自定义2、完整性：提供MAC验证强制一级电子票券服务平台 省级电子票券服务平台通用电子票券服务平台 票提供商系统1、 协议：SS

56、L2、 机密性/完整性：强制通用电子票券服务平台 终端管理控制平台3、 协议：自定义4、 提供MAC验证通用电子票券服务平台 (U)SIM卡多应用接入管理平台通用电子票券服务平台 手机支付服务平台1、安全协议：TLS/SSL2、机密性/完整性：由TLS/SSL协议实现机密性完整性保证，并通过服务器证书做双向认证强制9.5. 可用性可用性是指，系统能够可靠及时地为授权用户提供服务。因此，需要采取必要的可用性措施提供保障。应用层的可用性措施包括：异常处理等。9.5.1. 实施原则通用电子票券服务平台中可用性相关的设计原则如下表所示：应用/服务名称可用性要求可用性方案优先级通用电子票券服务平台高异常

57、处理强制9.5.2. 可用性方案9.5.2.1. 业务流程异常处理对于各类业务流程异常，即，业务流程中的某个环节，不能按照预定的流程完成，比如：请求/响应命令丢失/超时等，这会造成整个业务流程的异常，应用进程本身应该提供必要的处理机制，并记录审计日志，供事后的问题跟踪与应用的完善。具体来说，可以采取以下方案进行处理：应用/服务名称安全方案优先级通用电子票券服务平台l 重试：重新执行失败的操作，直至超过最大重试次数，如果仍然失败则流程失败，成功则进入下一环节l 回滚：如果业务流程失败，则将已经完成的环节重置为流程执行前的状态l 其它分支流程：执行业务流程中预先定义的异常流程l 记录审计日志：将流

58、程异常的参数记录到审计日志中可选9.6. 安全审计安全审计是针对各类安全相关的事件进行记录、分析及跟踪的过程，本规范中，仅对通用电子票券服务平台中的安全审计功能模块所需要提供的审计日志记录的功能及相关日志格式和范围提出要求（对日志的分析与跟踪将需要进行专门的审计软件的开发或采用第三方审计系统，该部分内容不在本规范的讨论范围）。本系统的安全审计功能模块能够记录的关键操作和事件如下： 系统管理员、应用管理员的关键操作：至少包括管理员的登陆、退出操作；管理员对用户的增加、修改、删除等用户管理操作；业务管理员对于业务进行配置管理的各类操作（改变业务参数的各类操作） 各类应用异常事件：n 系统调用异常：

59、各类系统调用过程中出现的异常（如：硬件或操作系统导致的异常等）n 应用定义的异常：应用自身定义的各类异常（如：网络连接超过配置的上限等） 各业务流程中的关键操作9.6.1. 实施原则安全审计的实施原则如下表所示：应用/服务名称审计要求安全审计方案优先级通用电子票券服务平台终端管理控制平台高业务流程审计管理员操作审计异常事件审计强制9.6.2. 安全审计技术要求对于业务流程、管理操作、异常事件等（以下统称为事件），需要记录的审计信息如下表所示（有些字段并不是对所有事件适用）：审计日志记录字段说明来源IP地址（或其它地址信息）事件的来源IP地址目标IP地址事件的目标IP地址日期/时间事件发生的日期和时间用户ID事件相关的用户ID进程ID事件相关的进程ID事件类型该事件的类型，如：管理操作、异常事件、业务流程关键操作等事件子类该事件相关的操作的ID，即